[dns-esp] Consulta dnssec
Miguel Angel Amador
miguel en motd.cl
Mar Oct 13 14:55:55 -03 2020
Gracias Mave, creo que con tu respuesta quedo explicado todo...
Saludos
Miguel
El vie., 9 oct. 2020 a las 11:17, Mauricio Vergara Ereche (<mave en cero32.cl>)
escribió:
> Hola Miguel,
>
> Si el registro DS está aún en la zona padre y desactivas DNSSEC en tu
> servidor autoritativo... entonces todos los resolvers que tengan habilitado
> DNSSEC te van a ver como NXDOMAIN: Eso quiere decir, el comportamiento
> sería el mismo que si hubieses apagado tus servidores. **NO LO HAGAS**
>
> Si necesitas migrar servidores DNS, tienes 2 opciones... y en ambas
> deberías tener que interactuar con tu zona padre.
> Estas opciones suponen que tú no tienes acceso al material criptográfico
> de DNSSEC y que ese servicio lo da un tercero, que no puedes manejar
> personalmente:
>
> OPCION 1: Hacer la transición dejando de usar DNSSEC durante el cambio:
> 1. Sacar el registro DS de tu zona padre (Si tienes un .CL hacerlo en NIC
> Chile)
> 2. Esperar que pasen los TTL correspondientes de tu zona
> 3. Desactivar DNSSEC de tu proveedor
> 4. Esperar TTLs. Chequear en dnsviz.net (ver opcion update now cada vez
> que vayas a hacer una nuevo chequeo para no ver caché antiguo)
> 5. Hacer la migración al nuevo proveedor/hosting (con los cambios
> correspondientes de NS en la zona padre)
> 6. Esperar TTLs
> 7. Activar DNSSEC en nuevo hosting
> 8. Esperar TTLs. Chequear con dnsviz
> 9. Publicar nuevo registro DS en la zona padre.
> 10. Chequear en dnsviz.net
> 11. Desactivar el proveedor antiguo.
>
> OPCION 2: Continuar firmando con DNSSEC durante la transición
> 1. Hacer una copia de la zona DNS "plana" (sin dnssec) al proveedor nuevo
> 2. Activar DNSSEC en el proveedor nuevo
> 3. Subir el nuevo registro DS a tu zona padre y agregarlo. Ojo con no
> borrar el DS anterior y no mezclar los algoritmos DS (si tu DS antiguo
> tenía digest 1 o 2 o ambos, mantenerlos y agregar los equivalentes del
> nuevo dominio)
> 4. Esperar TTL de la zona padre y chequear con dnsviz.net
> 5. Cuando hagas la migración de servidores, actualiza los registros DNS
> (A, AAAA, MX o los que sean necesarios) en ambos proveedores
> 6. Esperar TTLs, chequear con dnsviz
> 7. Actualizar los registros NS en la zona padre para hacer la transición
> de un proveedor al otro en ambos proveedores.
> 8. Esperar TTLs, chequear con dnsviz
> 9. Cuando esté todo contento, eliminar el registro DS antiguo de la zona
> padre... mantener el DS del proveedor nuevo.
> 10. Esperar TTLs, chequear con dnsviz
> 11. Apagar DNSSEC y el proveedor antiguo por completo.
>
> Para la opción 2 acá hay una presentación de Matt Pounsett donde hicieron
> un proceso como el que menciono: Video de la presentación
> https://youtu.be/XdFwAg5R49Q (y los slides:
> https://indico.dns-oarc.net/event/25/contributions/400/attachments/374/642/Inter-Operator_Transfer_of_Signed_TLDs.pdf
> ). Todo esto, basándose en el RFC 6781 (
> https://datatracker.ietf.org/doc/rfc6781/ )
>
> Saludos!
>
> On Fri, Oct 9, 2020 at 6:35 AM Miguel Angel Amador via dns-esp <
> dns-esp en listas.nic.cl> wrote:
>
>> Estimados
>> Cual seria el comportamiento esperado si a mi dominio con dnssec, le
>> desactivo dnssec en mis servidores dns pero no doy aviso a NIC?
>> Para saber la afectacion que podria tener una migracion de servidores
>> dns.
>> Quedo atento.
>> Miguel Amador
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>
>
>
> --
> Mauricio Vergara Ereche
> about.me/mave
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.nic.cl/pipermail/dns-esp/attachments/20201013/98828cb1/attachment.html>
Más información sobre la lista de distribución dns-esp